Sua senha não é segura, nem uma autenticação multifator SMS

25/11/2020 mindsecblog Artigos, Notícias 1

Sua senha não é segura, nem uma autenticação multifator SMS. Microsoft alerta sobre problemas no uso de senhas e MFAs.

O diretor de segurança de identidade da Microsoft tem alertado sobre a ineficácia das senhas e, mais recentemente, sobre a autenticação multifator ou MFA padrão.

Segundo a Forbes, no início deste ano, Alex Weinert avisou que “ sua palavra Pa $$ não importa ”, explicando os motivos pelos quais até mesmo senhas fortes não são necessariamente eficazes. Quando se trata de composição e comprimento, sua senha (principalmente) não importa”, disse Weinert da Microsoft. 

Weinert trabalha na equipe da Microsoft que atua na defesa contra centenas de milhões de ataques baseados em senha todos os dias.

“Lembre-se de que tudo que o invasor se preocupa é com o roubo de senhas … Essa é uma diferença fundamental entre a segurança hipotética e a prática.” – Alex Weinert da Microsoft

Em outras palavras, os bandidos farão o que for necessário para roubar sua senha e uma senha forte não é um obstáculo quando os criminosos têm muito tempo e muitas ferramentas à disposição.

Em uma tabela, ele deu uma lista de motivos pelos quais os hackers costumam ter sucesso. Por exemplo:

  • Violação de senha , ou seja, os bandidos já possuem sua senha.
    • Risco: violações massivas acontecem o tempo todo. Como eles já têm sua senha e como as senhas são difíceis de imaginar e serem reutilizadas (62% dos usuários admitem a reutilização), os hackers podem invadir mais de uma de suas contas. Mais de 20 milhões de contas sondadas diariamente nos sistemas de ID da Microsoft.
  • Spray de senha ” também conhecido como adivinhação
    • Risco: “Às vezes centenas de milhares quebradas por dia. Milhões sondados diariamente.
  • Phishing. ou seja, e-mails falsos – às vezes com aparência muito autêntica – supostamente de uma empresa confiável em que você confia.
    • Risco: “funciona … as pessoas estão curiosas ou preocupadas e ignoram os sinais de alerta.

Solução para os problemas acima (uma exortação voltada mais para empresas de tecnologia do que para usuários): confie mais na biometria, como impressão digital (ou uma “impressão digital cognitiva” *), voz ou identificação facial, de acordo com a Synopsys sediada em Mountain View, Califórnia, que, entre outras coisas, está envolvida na segurança do software. “Esses mecanismos de reconhecimento são armazenados apenas no dispositivo do usuário. As senhas são ‘segredos compartilhados’ que residem no dispositivo e em um servidor que, como todos sabemos, pode ser hackeado ”, disse Synopsys.

Mas a Synopsys também adiciona isto: se você tornar suas senhas longas e complicadas, usar uma mistura de letras, símbolos e pontuação, alterar periodicamente sua senha e não usar a mesma senha para mais de uma conta, “você [irá] ser um outlier (já que a maioria dos usuários não os faz) ”ou seja, você estará mais seguro do que a grande maioria das pessoas.

A autenticação multifator baseada em telefone também não é segura

O MFA baseado em telefones, também conhecido como redes telefônicas comutadas publicamente ou PSTN, não é seguro, de acordo com Weinert. Um MFA típico é quando, por exemplo, um banco envia a você um código de verificação por mensagem de texto SMS.

Acredito que eles sejam os menos seguros dos métodos de MFA disponíveis hoje”, escreveu Weinert em um blog (via ZDNet).

Quando os protocolos de SMS (mensagens de texto) e de voz foram desenvolvidos, eles foram projetados sem criptografia … O que isso significa é que os sinais podem ser interceptados por qualquer pessoa que tenha acesso à rede de comutação ou ao alcance de rádio de um dispositivo”, Weinert escrevi.

Solução: use autenticação baseada em aplicativo. Por exemplo, Microsoft Authenticator, Authy ou Google Authenticator . Um aplicativo é mais seguro porque não depende de sua operadora. Os códigos estão no próprio aplicativo e expiram rapidamente.

Em 2019 publicamos aqui no Blog que uma vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA. Os criminosos cibernéticos estão explorando falhas no SS7, um protocolo usado pelas empresas de telecomunicações para coordenar a maneira como encaminham textos e chamadas em todo o mundo, para interceptar mensagens enviadas para autenticação de dois fatores (2FA) e fraudar contas bancárias.

A notícia destaca os buracos na infra-estrutura de telecomunicações do mundo que a indústria de telecomunicações tem conhecido há anos, apesar dos ataques contínuos de criminosos. O Centro Nacional de Segurança Cibernética (National Cyber ​​Security Center – NCSC), o braço defensivo da agência de inteligência de sinais do Reino Unido, o GCHQ – Government Communications Headquarters , confirmou que o SS7 está sendo usado para interceptar códigos usados ​​para serviços bancários. “Estamos cientes de uma vulnerabilidade de telecomunicações conhecida sendo explorada para direcionar contas bancárias ao interceptar mensagens de texto SMS usadas como 2-Factor Authentication (2FA)“, disse o NCSC à Motherboard.

O problema fundamental da rede SS7 é que ela não autentica quem enviou uma solicitação. Portanto, se alguém obtiver acesso à rede – uma agência do governo, uma empresa de vigilância ou um criminoso -, a SS7 tratará seus comandos para redirecionar mensagens de texto ou chamadas com a mesma legitimidade que qualquer outra pessoa. Existem proteções que podem ser colocadas em prática, como firewalls SS7, e maneiras de detectar certos ataques, mas ainda há espaço para exploração.

 

Principais erros em password

Pesquisa Faz Ranking de Password

Estudo feito por pesquisadores pela empresa Dashlane examinou as políticas de senhas de 40 websites corporativos e de consumo e aponta que muitos falham ao implementar requerimentos de segurança.

A pesquisa mostra que 46% de site de consumo, como Netflix, Dropbox e Pandora,  e 36% de sites corporativos, incluindo DocSign e Amazon Web Services, falham ao implementar requerimentos básicos de segurança.

Os sites mais populares fornecem pousca orientação quando se trata de políticas de senha seguras. Dos 17 sites de consumo que falharam nos testes de Dashlane, oito são sites de entretenimento / mídia social e cinco são de comércio eletrônico.

Mais preocupante? Os pesquisadores criaram senhas usando apenas a letra minúscula “a” na Amazon, Google, Instagram, LinkedIn, Venmo e Dropbox, entre outros.

Criamos o ranking de força de senha para conscientizar todos que muitos sites que usamos regularmente não possuem políticas para impor medidas de senha seguras. É nosso trabalho alertar os usuários para que sejam especialmente vigilantes sobre nossa segurança cibernética, e isso começa com ter senhas fortes e exclusivas para cada conta“, disse Emmanuel Schalit, CEO da Dashlane. “No entanto, as empresas são responsáveis ​​por seus usuários e devem orientá-los para melhores práticas de senha

Os pesquisadores fizeram o ranking utilizando 5 critérios para a composição de uma senha forte:

  1. A senha deve ser maior que 8 caracteres
  2. Requer senha Alfanumérica incluindo números, letras e caracteres especiais
  3. O site faz verificação de força da senha
  4. Mecanismos de proteção contra ataque de força bruta (por. captcha)
  5. Segundo fator de autenticação

Melhores Práticas de Segurança Online para Proprietários e Desenvolvedores de Sites:

  • Faça com que as senhas tenham mínimo de 8 caracteres
  • Exija senhas alfanuméricas e sensíveis a maiúsculas e minúsculas
  • Forneça um medidor ou uma barra de códigos de cores para confirmar o comprimento e a força da senha
  • Envie um email aos usuários quando as senhas forem alteradas
  • Crie uma Black list das senhas mais comuns encontradas na web e as proíba
  • Considere a possibilidade de instituir uma política e implemente mecanismos de bloqueio de conta para frustrar ataques de força bruta
  • Implemente a autenticação de 2 fatos de suporte

Melhores Práticas de Segurança Online para Usuários da Web:

  • Gerar senhas que excedam o mínimo de 8 caracteres
  • Crie senhas com uma mistura de letras, números e símbolos especiais sensíveis a maiúsculas e minúsculas
  • Use sempre uma senha exclusiva para cada conta online
  • Evite usar senhas que contenham palavras, frases, gírias, lugares, nomes, etc. de fácil conhecimento ou relacionamento com seus hábitos
  • Use um gerenciador de senhas para ajudar a gerar, armazenar e gerenciar suas senhas.

No artigo Creating Strong Password a GCF LearnFree  relaciona como principais dicas para criar uma senha forte:

  • Nunca use informações pessoais, como seu nome, aniversário, nome de usuário ou endereço de e-mail. Esse tipo de informação geralmente está disponível publicamente, o que torna mais fácil para alguém adivinhar sua senha.
  • Use uma senha longa. Sua senha deve ter pelo menos seis caracteres de comprimento, embora para segurança extra deva ser mais longa.
  • Não use a mesma senha em todas as contas. Se alguém descobrir sua senha para uma conta, todas as suas outras contas serão vulneráveis.
  • Tente incluir números, símbolos e letras maiúsculas e minúsculas.
  • Evite usar palavras que podem ser encontradas no dicionário. Por exemplo, natação1 seria uma senha fraca.
  • As senhas aleatórias são as mais fortes. Se você está tendo problemas para criar um, você pode usar um gerador de senhas em vez disso.

 

 

Fonte: Forbes & GCF LearnFree.org & http://www.whoishostingthis.com/

 

 

Veja também:

Sobre mindsecblog 2571 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

1 Trackback / Pingback

  1. Hack de vale-presente - você paga, eles compram

Deixe sua opinião!